De gegevens van duizenden klanten van maaltijdbezorgdienst Foodora zijn buitgemaakt bij een datalek. Het gaat behalve om namen en adressen ook om telefoonnummers en de bestelgeschiedenis. Onder de slachtoffers bevinden zich zo'n 50.000 Nederlanders.
Foodora was tot 2018 in Nederland actief, maar inmiddels niet meer. De gegevens gaan terug tot 2016, bevestigt het bedrijf aan Data Breach Today. In totaal zijn de gegevens van 727.000 accounts gestolen. Daaronder zijn 50.000 Nederlanders, zegt hacker Rickey Gevers tegen BNR.
Bij de hack zijn namen en adressen gestolen, en telefoonnummers als die aan het account gekoppeld waren. Daarnaast is de bestelgeschiedenis in te zien, inclusief de notities die een klant bij een bezorging plaatst. Daarnaast zaten er locatiegegevens bij bestellingen.
Bij de gegevens zijn ook gehashte wachtwoorden buitgemaakt. Volgens Rickey Gevers gaat het bij Nederlandse slachtoffers in 22.000 gevallen om een bcrypt-hash. In de database zaten ook wachtwoorden met de zwakke MD5-hash, zegt Troy Hunt van Have I Been Pwned, al is niet bekend om hoeveel het daarbij gaat.
Een database met de gestolen gegevens werd sinds 19 mei op hackerforums aangeboden. De oudste data in de database lijkt uit augustus 2015 te komen en de recentste uit april 2016. In totaal zijn 600.000 unieke e-mailadressen gestolen van gebruikers uit veertien landen. Die waren verdeeld in sql-databases die per land verdeeld zijn.
Het moederbedrijf van Foodora, Delivery Hero, sloot in 2018 de deuren in Nederland. Het bedrijf kon geen koper vinden voor de Nederlandse activiteiten. De Duitse activiteiten werden doorverkocht aan het Nederlandse TakeAway.